Comitato Europeo per la protezione dei dati | European Data Protection Board – Terza sessione plenaria 2018

EDPBOARDIl 25 e il 26 settembre 2018, le autorità europee per la protezione dei dati, riunite nel comitato europeo per la protezione dei dati (EDPB) si sono incontrate per la loro terza sessione plenaria.

Durante la plenaria sono stati discussi una vasta gamma di argomenti. Segnalo fra l’altro:

Decisione di adeguatezza UE-Giappone

I membri del Board hanno discusso la bozza di decisione sull’adeguatezza UE-Giappone che hanno ricevuto dal commissario Věra Jourová.  Il Board esaminerà ora a fondo il progetto di decisione.

Elenchi di DPIA

L’EDPB ha raggiunto un accordo e adottato i 22 pareri che stabiliscono criteri comuni per gli elenchi della valutazione dell’impatto sulla protezione dei dati (DPIA).

Queste liste costituiscono uno strumento importante per l’applicazione coerente del GDPR in tutta l’UE.

La DPIA è un processo per aiutare a identificare e mitigare i rischi di protezione dei dati che potrebbero influenzare i diritti e le libertà delle persone.

Per aiutare a chiarire i tipi di trattamento che potrebbero richiedere una DPIA, il GDPR richiede alle autorità nazionali di vigilanza di creare e pubblicare elenchi di tipi di operazioni che potrebbero comportare un rischio elevato.

Il Consiglio ha ricevuto 22 liste nazionali con un totale di 260 diversi tipi di trattamento.

I 22 pareri sulle liste DPIA sono previsti dall’art. 35.4 e dall’art. 35.6 GDPR e sono in linea con le linee guida precedenti stabilite dal Gruppo di lavoro articolo 29.

Linee guida sull’ambito territoriale di applicazione GDPR

L’EDPB ha adottato una nuova bozza di linee guida, che contribuirà a fornire un’interpretazione comune dell’ambito di applicazione territoriale del GDPR e fornirà ulteriori chiarimenti sull’applicazione del GDPR in varie situazioni, in particolare laddove il Titolare del trattamento o il responsabile del trattamento è stabilito al di fuori dell’UE, anche sulla designazione di un rappresentante. Le linee guida saranno soggette a una consultazione pubblica.

Fonte: European Data Protection Board

Annunci
Regolamento Privacy UE

Regolamento Privacy UE: pubblicato nella Gazzetta Ufficiale dell’Unione Europea

Il 4 maggio 2016 sarà ricordato dai DPO europei per la pubblicazione ufficiale del testo del Regolamento Europeo Privacy nella Gazzetta Ufficiale dell’Unione Europea (Serie L. 119 | 04 Maggio 2016).

La denominazione del Testo del Regolamento Europeo Privacy è la seguente: “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla Protezione dei dati”.

Il Regolamento entrerà in vigore il 24 maggio 2016 e sarà applicato a partire dal 25 maggio 2018.

Affrettiamoci a far fronte ai nuovi adempimenti!

Cliccare qui per consultare il testo del Regolamento pubblicato sulla Gazzetta Ufficiale dell’Unione Europea

Autore: Dott. Matteo Colombo | CEO di Labor Project srl e Presidente di ASSO DPO

 

 

 

Corte di Giustizia Europea e Safe Harbor | che fare ?

La Corte di Giustizia dell’Unione Europea il 06 ottobre 2015 ha dichiarato invalidi i principi privacy del c.d. “Safe Harbor” relativi al trasferimento dei dati negli Stati Uniti d’America.

Per la Corte l’invalidità è basata sul fatto che i dati trasferiti negli Stati Uniti ai sensi dei principi previsti dalla Direttiva Privacy UE non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nel territorio dell’Unione Europea (cfr. caso Snowden).

Infatti, il problema principale rilevato è che gli accordi di Safe Harbor non hanno impedito alle Autorità Pubbliche Americane di monitorare e di accedere ai dati europei trasferiti negli Stati Uniti, anche in circostanze che non si possono considerare necessarie.

L’Autorità Garante Italiana ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte delle varie DPA, le quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti d’America.

Cosa dovremo fare?
Dovremo bloccare il trasferimento e il trattamento dei dati negli Stati Uniti per quelle società che basano il principio di adeguatezza solo sull’essere certificate "Safe Harbor"? 

La decisione non blocca o sospende automaticamente il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali.

Tuttavia, alla luce della decisione della Corte di Giustizia dell’Unione Europea, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime “Safe Harbor” potranno essere  oggetto di contestazione.

Le aziende, a parere di chi scrive e di altri autorevoli DPO,  in attesa di una presa di posizione politica a livello UE e dei Garanti Privacy, anche attraverso una decisione del WP29, dovrebbero:

  • rivedere ed analizzare i dati trasferiti negli Stati Uniti ai sensi del “Safe Harbor”, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
  • limitare questi trasferimenti di dati a ciò che è essenziale per il business della società;
  • adottare le c.d. “standard contractual clauses” | contratti tipo espressamente approvati dalla Commissione Europea e già utilizzati dalle società.
  • prevedere la possibilità di presentare richiesta per Binding Corporate Rules (BCR), strumento volto a consentire il trasferimento dei dati solo tra società facenti parti dello stesso gruppo di imprese.

Tutto ciò sperando che questa decisione non faccia venir meno anche la legittimità in futuro di tali strumenti.

Le aziende ed i propri Data Protection Officer che si trovano in questa condizione dovrebbero quindi compiere una dettagliata verifica di conformità interna | audit sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e dovranno cercare di minimizzare i rischi di future contestazioni.

07 ottobre 2015